Управление серверами с поддержкой Azure Arc с помощью Центра администрирования Windows в Azure

С помощью Центра администрирования Windows на портале Azure вы можете управлять операционной системой Windows Server серверов с поддержкой Arc, известной как гибридные компьютеры. Вы можете безопасно управлять гибридными компьютерами из любого места, не нуждаясь в VPN, общедоступном IP-адресе или другом входящего подключения к вашему компьютеру. Дополнительные сведения о серверах с поддержкой Arc см. в статье "Что такое серверы с поддержкой Azure Arc?".

С помощью расширения Windows Admin Center в Azure вы получаете функции управления, настройки, устранения неполадок и обслуживания для управления серверами с поддержкой Arc на портале Azure. Для управления инфраструктурой и рабочими нагрузками Windows Server больше не требуется устанавливать протокол удаленного рабочего стола (RDP) — вы можете управлять всем напрямую через портал Azure. Windows Admin Center предоставляет инструменты, которые обычно находятся в диспетчере сервера, диспетчере устройств, диспетчере задач, диспетчере Hyper-V и большинстве других средств консоли управления Майкрософт (MMC).

В этой статье представлен обзор использования Windows Admin Center в портале Azure, обсуждаются требования, а также установка Windows Admin Center в портале Azure и его использование для управления гибридным компьютером. Он также отвечает на часто задаваемые вопросы и предоставляет список известных проблем и советов по устранению неполадок в случае, если что-то не работает.

Обзор Центра администрирования Windows в Azure

Центр администрирования Windows в портал Azure предоставляет основные средства для управления Windows Server, работающей на одном гибридном компьютере. Вы можете управлять гибридными компьютерами без необходимости открывать все входящие порты на брандмауэре.

С помощью Центра администрирования Windows в портал Azure вы можете управлять следующими способами:

• Certificates
• Devices
• Events
• Файлы и общий доступ к файлам
• Firewall
• Установленные приложения
• Локальные пользователи и группы
• Performance Monitor
• PowerShell
• Processes
• Registry
• Remote Desktop
• Роли и компоненты
• Запланированные задачи
• Services
• Storage
• Updates
• Виртуальные машины
• Виртуальные коммутаторы

В настоящее время мы не поддерживаем другие расширения для Windows Admin Center в Azure Portal.

Requirements

В этом разделе приведены требования к использованию Windows Admin Center в портал Azure для управления гибридным компьютером:

• Учетная запись Azure с активной подпиской
• Разрешения Azure
• Доступность региона Azure
• Требования к гибридному компьютеру
• Требования к сети

учетная запись Azure с активной подпиской.

Для развертывания Windows Admin Center потребуется учетная запись Azure с активной подпиской. Если ее еще нет, можно создать учетную запись бесплатно.

Во время развертывания Windows Admin Center мы попытаемся зарегистрировать поставщик ресурсов Microsoft.HybridConnectivity для вашей подписки.

Чтобы проверить состояние поставщика ресурсов и при необходимости зарегистрировать его, сделайте следующее:

1. Войдите на портал Azure.
2. Выберите подписки.
3. Выберите имя подписки.
4. Выберите поставщики ресурсов.
5. Найдите Microsoft.HybridConnectivity.
6. Убедитесь, что состояние Microsoft.HybridConnectivity зарегистрировано.
   1. Если состояние не зарегистрировано, выберите Microsoft.HybridConnectivity и нажмите кнопку Register.

Разрешения Azure

Чтобы установить расширение Windows Admin Center для ресурса сервера с поддержкой Arc, вашей учетной записи должна быть назначена роль «Владелец», «Участник» или «Администратор Центра администрирования Windows» в Azure.

Для подключения к Центру администрирования Windows вам необходимо иметь разрешения Читателя и Администратора Центра администрирования Windows для ресурса сервера с поддержкой Arc.

Дополнительные сведения о назначении ролей Azure с помощью портала Azure

Доступность по регионам Azure

Windows Admin Center поддерживается в следующих регионах Azure:

• Australia East
• Brazil South
• Canada Central
• Canada East
• Central India
• Central US
• East Asia
• East US
• Восточная часть США 2
• France Central
• Japan East
• Korea Central
• Центрально-северная часть США
• North Europe
• Северная часть ЮАР;
• Центрально-южная часть США
• Southeast Asia
• Sweden Central
• Switzerland North
• UAE North
• UK South
• UK West
• центрально-западная часть США
• West Europe
• West US
• западная часть США 2
• Запад США 3

Требования к гибридному компьютеру

Чтобы использовать Windows Admin Center в портал Azure, агент Центра администрирования Windows должен быть установлен на каждом гибридном компьютере, который вы хотите управлять с помощью расширения виртуальной машины Azure. Прежде чем продолжить работу, убедитесь, что компьютер подключен к Azure Arc. Дополнительные сведения о подключении компьютера к Azure Arc см. в статье "Подключение компьютеров Windows Server к Azure с помощью программы установки Azure Arc". Гибридный компьютер должен отвечать следующим требованиям:

• Windows Server 2016 или более поздней версии.
• 3 ГБ ОЗУ или больше
• Агент Azure Arc версии 1.13.21320.014 или более поздней

Требования к сети

Гибридный компьютер должен соответствовать следующим требованиям к сети:

• Исходящий доступ к Интернету или правило исходящего порта, разрешающее трафик HTTPS к следующим конечным точкам:

  • *service.waconazure.com WindowsAdminCenter или служебный тег
  • pas.windows.net
  • *.servicebus.windows.net

Компьютер управления, на котором выполняется портал Azure, должен соответствовать следующим требованиям к сети:

• Исходящий доступ к Интернету через порт 443

Перед доступом к порталу Azure с компьютера или системы управления проверьте список поддерживаемых устройств и рекомендуемых браузеров.

Установка Центра администрирования Windows в портал Azure

Прежде чем использовать Windows Admin Center в портал Azure, необходимо развернуть расширение виртуальной машины Windows Admin Center, выполнив следующие действия.

1. Откройте портал Azure и перейдите на сервер с поддержкой Arc.
2. В группе "Параметры" выберите Центр администрирования Windows.
3. Укажите порт, на котором вы хотите установить Windows Admin Center, и нажмите кнопку "Установить".

Подключение к Центру администрирования Windows в портале Azure

После установки Windows Admin Center на гибридном компьютере выполните следующие действия, чтобы подключиться к нему и использовать его для управления Windows Server:

1. Откройте портал Azure и перейдите на сервер с поддержкой Arc, а затем в группе параметров выберите Windows Admin Center (предварительная версия).
2. Нажмите Подключиться.

Windows Admin Center открывается на портале, предоставляя вам доступ к тем же средствам, с которыми вы могли ознакомиться с помощью Windows Admin Center в локальном развертывании.

Настройка назначений ролей

Доступ к Центру администрирования Windows контролируется ролью администратора Центра администрирования Windows в Azure.

Чтобы настроить назначения ролей для гибридных компьютеров с помощью интерфейса Центра администрирования Microsoft Entra:

1. Откройте гибридный компьютер, который вы хотите управлять с помощью Windows Admin Center.

2. Выберите Управление доступом (IAM) .

3. Выберите "Добавить">, чтобы открыть страницу "Добавить роль".

4. Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

   Setting	Value
   Role	Вход администратора Windows Admin Center
   Назначить доступ для	Пользователь, группа, сервисный принципал или управляемая идентичность

Дополнительные сведения об использовании Azure RBAC для управления доступом к ресурсам подписки Azure см. в следующих статьях:

• Назначение ролей Azure с помощью Azure CLI
• Назначьте роли Azure, используя Azure CLI Azure CLI также можно использовать в интерфейсе Azure Cloud Shell.
• Назначение ролей Azure с помощью портала Azure
• Назначение ролей Azure с помощью Azure PowerShell

Конфигурация прокси-сервера

Если компьютер подключается через прокси-сервер для обмена данными через Интернет, ознакомьтесь со следующими требованиями, чтобы понять необходимую конфигурацию сети.

Расширение Windows Admin Center может взаимодействовать через прокси-сервер с помощью протокола HTTPS. Используйте параметры расширений для конфигурации, как описано ниже. Прокси-серверы, прошедшие проверку подлинности, не поддерживаются.

1. Используйте эту блок-схему для определения значений Settings параметров

2. После определения значений Settings параметров укажите эти другие параметры при развертывании агента AdminCenter. Используйте команды PowerShell, как показано в следующем примере:

$wacPort = "6516"
$settings = @{"port" = $wacPort; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}}
New-AzConnectedMachineExtension -Name AdminCenter -ExtensionType AdminCenter -Publisher Microsoft.AdminCenter -ResourceGroupName <resource-group-name> -MachineName <arc-server-name> -Location <arc-server-location> -Setting $settings -SubscriptionId <subscription-id>

Принцип работы

Используя Windows Admin Center в Azure, вы можете подключиться к гибридному компьютеру без необходимости включения какого-либо входящего порта в брандмауэре. Центр администрирования Windows через агент Arc может безопасно установить подключение обратного прокси-сервера со службой Azure Arc в исходящем режиме.

Для каждого гибридного компьютера, которым требуется управлять с помощью Windows Admin Center в портал Azure, необходимо развернуть агент на каждом компьютере.

Агент взаимодействует с внешней службой, которая управляет сертификатами, чтобы можно было легко подключиться к гибридному компьютеру.

При нажатии кнопки "Установить" выполняются следующие действия:

1. Регистрирует поставщик ресурсов Microsoft.HybridConnectivity в подписке. Поставщик ресурсов размещает прокси-сервер, используемый для связи с сервером с поддержкой Arc.
2. Развертывает ресурс конечной точки Azure на ресурсе с поддержкой Arc, который обеспечивает обратное прокси-подключение на указанном порту. Это просто логический ресурс в Azure и не развертывает ничего на самом сервере.
3. На гибридном компьютере с действительным сертификатом TLS устанавливается агент Windows Admin Center.

При нажатии кнопки "Подключить" выполняются следующие действия:

1. Портал Azure запрашивает у поставщика ресурсов Microsoft.HybridConnectivity доступ к серверу с поддержкой Arc.
2. Поставщик ресурсов взаимодействует с прокси-сервером SNI уровня 4, чтобы установить короткий доступ к серверу с поддержкой Arc на порту Windows Admin Center.
3. Создается уникальный временный URL-адрес, а подключение к Центру администрирования Windows устанавливается из портала Azure.

Подключение к Windows Admin Center полностью зашифровано с завершением сеанса SSL на гибридном компьютере.

Автоматизация развертывания Windows Admin Center с помощью PowerShell

Развертывание Windows Admin Center можно автоматизировать в портал Azure с помощью этого примера скрипта PowerShell.

$location = "<location_of_hybrid_machine>"
$machineName = "<name_of_hybrid_machine>"
$resourceGroup = "<resource_group>"
$subscription = "<subscription_id>"
$port = "6516"
$portint = 6516
        
#Deploy Windows Admin Center
$Setting = @{"port" = $port; "proxy" = @{"mode" = "application"; "address" = "http://[address]:[port]";}} #proxy configuration is optional
New-AzConnectedMachineExtension -Name "AdminCenter" -ResourceGroupName $resourceGroup -MachineName $machineName -Location $location -Publisher "Microsoft.AdminCenter" -Settings $Setting -ExtensionType "AdminCenter" -SubscriptionId $subscription
        
#Allow connectivity
$putPayload = "{'properties': {'type': 'default'}}"
Invoke-AzRestMethod -Method PUT -Uri "https://management.azure.com/subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15" -Payload $putPayload

$patch = @{ "properties" =  @{ "serviceName" = "WAC"; "port" = $portint}} 
$patchPayload = ConvertTo-Json $patch 
Invoke-AzRestMethod -Method PUT -Path /subscriptions/${subscription}/resourceGroups/${resourceGroup}/providers/Microsoft.HybridCompute/machines/${machineName}/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/WAC?api-version=2023-03-15 -Payload $patchPayload

Troubleshooting

Ниже приведены некоторые советы, чтобы попробовать в случае, если что-то не работает. Общие сведения об устранении неполадок Windows Admin Center (не в Azure) см. в разделе "Устранение неполадок с Windows Admin Center".

Не удалось подключиться: "Конечная точка не найдена (ошибка 404)"

1. Версия 1.36 и 1.35 агента подключенного компьютера Azure (агент Arc) прерывает подключение к Центру администрирования Windows. Это исправлено в более поздних версиях агента Arc (1.37+) Здесь можно скачать.

Ошибка подключения

1. Перезапустите службу HIMDS.

   1. Подключитесь к вашему серверу через RDP.

   2. Откройте PowerShell от имени администратора и выполните следующую команду:

      Restart-Service -Name himds
      

2. Убедитесь, что версия расширения — 0.0.0.169 или более поздняя.

   1. Перейдите к разделу "Расширения"
   2. Убедитесь, что версия расширения AdminCenter — 0.0.0.169 или более поздней.
   3. Если нет, удалите расширение и переустановите его.

3. Убедитесь, что на компьютере запущена служба Windows Admin Center.

   1. Подключитесь к вашему серверу через RDP.
   2. Откройте диспетчер задач (CTRL+SHIFT+ESC) и перейдите к службам.
   3. Убедитесь, что serverManagementGateway или Windows Admin Center запущен.
   4. Если она не запущена, запустите службу.

4. Убедитесь, что порт включен для сеанса обратного прокси.

   1. Подключитесь к вашему серверу через RDP.

   2. Откройте PowerShell от имени администратора и выполните следующую команду:

      azcmagent config list
      

   3. В результате должен быть возвращен список портов в конфигурации incomingconnections.ports (предварительная версия), которые разрешены для подключения из Azure. Убедитесь, что порт, на котором установлен Центр администрирования Windows, находится в этом списке. Например, если Windows Admin Center установлен на порте 443, результатом будет:

      Local configuration setting
      incomingconnections.ports (preview): 443
      

   4. В случае, если он не указан в этом списке, выполните действие.

      azcmagent config set incomingconnections.ports <port>
      

      Если вы используете другой интерфейс (например, SSH) с помощью этого решения, можно указать несколько портов, разделенных запятой.

5. Убедитесь, что у вас есть исходящее подключение к необходимым портам

   1. Гибридный компьютер должен иметь исходящее подключение к следующим конечным точкам:
      • *.wac.azure.com,*.waconazure.com или WindowsAdminCenter ServiceTag
      • pas.windows.net
      • *.servicebus.windows.net

Одно из средств Windows Admin Center не загружается или возвращает ошибку

1. Перейдите к любому другому инструменту в Windows Admin Center и вернитесь к другому инструменту, который не загружается.

2. Если другое средство не загружается, проблема может быть связана с сетевым подключением. Попробуйте закрыть лезвие и снова подключиться. Если это не поможет, отправьте запрос в службу поддержки.

Сбой установки расширения Windows Admin Center

1. Дважды проверьте соответствие гибридного компьютера требованиям.

2. Убедитесь, что исходящий трафик в Windows Admin Center разрешен на гибридном компьютере

   1. Проверьте подключение, выполнив следующую команду с помощью PowerShell в виртуальной машине:

      Invoke-RestMethod -Method GET -Uri https://<your_region>.service.waconazure.com
      

      Microsoft Certificate and DNS service for Windows Admin Center in the Azure Portal
      

3. Если вы разрешили весь исходящий трафик и получили ошибку из приведенной выше команды, убедитесь, что правила брандмауэра не блокируют подключение.

Если вам кажется, что все в порядке, но Windows Admin Center все равно не устанавливается, отправьте запрос в службу поддержки, указав в нем следующую информацию:

• Журналы из портала Azure. Журналы Windows Admin Center можно найти в разделе Параметры>Расширения>AdminCenter>Просмотр подробного состояния.

• Журналы на гибридном компьютере. Выполните следующую команду PowerShell и поделитесь результирующей .zip файлом.

  azcmagent logs
  

• Сетевая трассировка, если это уместно. Журналы сетевой трассировки могут содержать данные клиента и конфиденциальные сведения о безопасности, такие как пароли, поэтому перед отправкой мы рекомендуем просмотреть их и удалить всю конфиденциальную информацию.

Известные проблемы

• Режим инкогнито Chrome не поддерживается.
• Приложение Azure для рабочего стола не поддерживается.
• Подробные сообщения об ошибках для неудачных подключений пока недоступны.

Часто задаваемые вопросы

Найдите ответы на часто задаваемые вопросы об использовании Windows Admin Center в Azure.

Сколько стоит использование Windows Admin Center?

Использование Центра администрирования Windows в портале Azure не связано с какими-либо затратами.

Можно ли использовать Windows Admin Center для управления виртуальными машинами, работающими на моем сервере?

Роль Hyper-V можно установить с помощью расширения "Роли и компоненты". После установки обновите браузер: Windows Admin Center отображает расширения виртуальной машины и коммутатора.

Какие серверы можно управлять с помощью этого расширения?

Вы можете использовать возможность управления Windows Server 2016 с поддержкой Arc и более поздних версий. Вы также можете использовать Центр администрирования Windows в Azure для управления Azure локальными.

Как в Windows Admin Center осуществляется обеспечение безопасности?

Трафик из портал Azure в Центр администрирования Windows зашифрован. Сервер с поддержкой Arc управляется с помощью PowerShell и WMI через WinRM.

Требуется ли входящий порт для использования Windows Admin Center?

Для использования Windows Admin Center не требуется входящего подключения.

Почему необходимо создать правило исходящего порта?

Для службы, которую мы создали для общения с вашим сервером, требуется правило исходящего порта. Наша служба выдает вам сертификат бесплатно для вашей версии Windows Admin Center. Эта служба гарантирует, что вы всегда можете подключиться к экземпляру Центра администрирования Windows (WAC) из портала Azure, поддерживая сертификат WAC в актуальном состоянии.

Кроме того, для доступа к Windows Admin Center из Azure не требуется входящий порт и только исходящее подключение через обратное прокси-решение. Эти правила исходящего трафика необходимы для установления подключения.

Как найти порт, используемый для установки Windows Admin Center?

Чтобы проверить значение параметра реестра SmePort, выполните следующие действия.

1. Подключитесь к своему серверу через RDP
2. Открытие редактора реестра
3. Перейдите к ключу \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManagementGateway
4. Прочитайте значение SmePort, чтобы найти используемый порт

Можно ли использовать PowerShell или Azure CLI для установки расширения на виртуальной машине?

Да, чтобы установить расширение с помощью Azure CLI, выполните следующую команду из командной строки:

az connectedmachine extension create

Вы также можете установить расширение с помощью PowerShell. Узнайте больше о том, как автоматизировать развертывание Windows Admin Center с помощью PowerShell.

У меня уже есть Windows Admin Center, установленный на моем сервере Arc. Можно ли получить доступ к нему с портала?

Yes. Вы можете выполнить те же действия, описанные в этом документе.

Дальнейшие шаги

• Сведения о Windows Admin Center
• Сведения об управлении серверами с помощью Центра администрирования Windows
• Сведения о Azure Arc